WO2010003832A1 - Procédé de basculement entre deux versions d'une même application au sein d'un dispositif de traitement de l'information et ledit dispositif - Google Patents

Procédé de basculement entre deux versions d'une même application au sein d'un dispositif de traitement de l'information et ledit dispositif Download PDF

Info

Publication number
WO2010003832A1
WO2010003832A1 PCT/EP2009/058014 EP2009058014W WO2010003832A1 WO 2010003832 A1 WO2010003832 A1 WO 2010003832A1 EP 2009058014 W EP2009058014 W EP 2009058014W WO 2010003832 A1 WO2010003832 A1 WO 2010003832A1
Authority
WO
WIPO (PCT)
Prior art keywords
application
applications
identifier
failover
memory
Prior art date
Application number
PCT/EP2009/058014
Other languages
English (en)
Inventor
Cyrille Pepin
Louis-Philippe Goncalves
Stéphane GUIBERT
Vincent Verbrigghe
Original Assignee
Sagem Securite
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sagem Securite filed Critical Sagem Securite
Priority to EP09793916.9A priority Critical patent/EP2304559B1/fr
Publication of WO2010003832A1 publication Critical patent/WO2010003832A1/fr

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/445Program loading or initiating
    • G06F9/44536Selecting among different versions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/355Personalisation of cards for use
    • G06Q20/3552Downloading or loading of personalisation data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/356Aspects of software for card payments
    • G06Q20/3563Software being resident on card
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/357Cards having a plurality of specified features
    • G06Q20/3576Multiple memory zones on card
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/65Updates
    • G06F8/66Updates of program code stored in read-only memory [ROM]

Definitions

  • the present invention relates to the field of secure information processing devices such as, for example, smart cards. More particularly, the invention relates to the means of updating an application contained in a ROM type ROM Read OnIy Memory of such a device.
  • the invention aims to solve the above problems by proposing an information processing device having in the ROM two versions of an application. Both versions have the same identifier.
  • the device has a means of controlling a switch between these two versions so that the version of the application executed in response to an invocation of the application identifier changes.
  • the invention relates to an information processing device comprising means for storing the information in a read-only memory; a plurality of applications stored in the memory information storage means; an operating system comprising a set of commands, including a means for invoking an application among the plurality of applications, said application being identified by an application identifier; at least two applications among the plurality associated with the same application identifier and switching means for changing the application actually invoked during a call of the invoking means with the aid of this given identifier, among the applications associated with a given identifier.
  • the device comprising a second means for storing information in rewritable memory, the means of invoking an application using the identifier associated with an application to determine a data structure containing a reference on the application to be invoked in the rewritable memory, the failover means comprises means for copying into the data structure a Dataset containing a reference to the new application to be invoked using the identifier.
  • the device comprises in memory, for each of the applications associated with a given identifier, a copy of the data structure to be copied by the switching means.
  • the applications being stored in the read-only memory in a hierarchical structure
  • the data structures to be copied by the switching means can be located at different levels of the hierarchical structure allowing to switch several applications in a linked way.
  • the data structures stored within the hierarchical structure contain a failover parameter making it possible to define the failover policy of an application when the failover is initiated after invocation of another application. .
  • the failover means are implemented by overloading an existing command among the set of commands of the operating system.
  • the failover means are implemented by adding an additional command from the set of commands of the operating system.
  • the invention also relates to a failover method, within an information processing device comprising a means for storing the information in a read-only memory, a second rewritable memory storage means, a plurality of applications.
  • an operating system comprising a set of commands including a means for invoking an application among the plurality of applications, said application being identified by an identifier of application, the means for invoking an application using the identifier associated with an application to determine a data structure containing a reference on the application to be invoked, said data structure being in the rewritable memory, which comprises a step of invoking an application among the plurality identified by its application identifier; the device comprising at least two applications associated with this identifier, each of these applications being associated with a copy of the data structure, a step of invoking a failover command comprising a step of copying the copy of the structure associated with the new application on the data structure used for the invocation.
  • Fig. 1 illustrates the general architecture of a banking system with two generations of applications
  • Fig. 2 illustrates the mechanism for invoking an application within a smart card
  • Fig. 3 illustrates the mechanism of the invention according to an exemplary embodiment
  • Fig. 4 illustrates the structure of the configuration information of an application
  • Fig. 5 illustrates the file structure in a first embodiment of the switchover
  • Fig. 6 illustrates the file structure in a second exemplary embodiment of the switchover
  • Fig. 7 illustrates the file structure in a third exemplary embodiment of the switchover
  • Fig. 8 illustrates the software architecture of an exemplary embodiment of the invention.
  • the invention is concerned with the mechanism for updating an application stored in read-only memory within an information processing device.
  • this device can be a smart card in the banking field, but the invention can be applied in other fields involving devices for processing information in read-only memory, for example in the field of cards containing the device. medical record of the wearer or others.
  • the application parts are generally stored in rewritable memory spaces. Therefore, when we want to update a application it is possible to modify, or even to change completely, the code representing this application in the memory of the device.
  • the term memory is used in the broad sense and can denote any information storage device and in particular magnetic disks known as hard disk.
  • information processing devices are commonly used where the applications are stored in read-only memory. These devices may be, for example, smart cards such as bank cards or cards known as the "vital" card identifying a user of the French health care system.
  • Fig. 1 illustrates the architecture of an information processing system in the banking field during a migration.
  • This system involves on the one hand a bank server 1.1.
  • This server is connected to a payment terminal or POS ⁇ Point Of Service in English) or an ATM (Automated Teller Machine) 1.5.
  • this terminal 1.5 is itself connected to a smart card 1.7.
  • the communications between the card 1.7 and the terminal 1.5 on the one hand, and between the terminal 1.5 and the bank server 1.1, on the other hand, are done via the EMV protocol (Europay, Mastercard, Visa) 1.4 and 1.6.
  • EMV protocol Europay, Mastercard, Visa
  • the server applications 1.2 and 1.3 can respectively communicate with the applications 1.8 and 1.9 of the smart card.
  • Fig. 2 details the mechanism involved in the invocation of an application within the card.
  • the application is identified by an AID (for Application ID in English) 2.1.
  • This identifier makes it possible to reference an application configuration data structure 2.2.
  • This data structure contains a set of data, including a reference to the application itself 2.3.
  • the invocation of a application 2.3 therefore involves identifying the application configuration data structure linked to its identifier AID.
  • the execution context is configured using the information contained in this structure.
  • the application 2.3 can then be executed.
  • Fig. 3 illustrates the basic scheme of the invention.
  • a corresponding application configuration data structure 3.5 and 3.6 is also stored.
  • Each of these structures refers to the corresponding version of application 3.3 and 3.4.
  • These applications have a single AID ID, 3.1, for both application versions 3.3 and 3.4.
  • This identifier 3.1 makes it possible to identify an application configuration data structure 3.2 making it possible to configure the context of the application.
  • this structure 3.2 is stored in a writable part of the memory of the information processing device.
  • Fig. 4 represents the application configuration data structure in the context of the exemplary embodiment of the invention, that is to say the framework of banking information processing systems according to the EMV standard.
  • the structure then contains a part byte on one octet encoding the type of application.
  • a second part 4.2 on 2 bytes makes it possible to activate or deactivate certain functionalities or options of the application. We will see below that this part implements options related to the failover operation.
  • a third part 4.3 on one byte stores the identifier of the file of traces making it possible to specify where is stored the log of the transactions. It is possible to keep the same trace file or change it during the switchover.
  • a fourth part 4.4 on a few bytes makes it possible to define certain functional characteristics of the EMV standard.
  • a fifth part 4.5 defines the EMV commands available for this application. We can thus prohibit or authorize certain EMV commands.
  • the following 2 bytes 4.6 and 4.7 read all the internal data on which the application is based to work.
  • the first byte 4.6 is a pointer or an identifier of the first file or group of internal data of the application.
  • the second byte 4.7 contains the number of internal files or groups of data in the application.
  • the failover operation allows you to keep some of these internal files or groups of data and change others or change them if needed.
  • each application must have a 5.5 configuration data structure.
  • Such a structure can be directly related to the application to which it is related as in the drawing, structure 5.5 relating to the application 5.2.
  • the second structure 5.6 is also attached to the same application 5.2, but in another version. It allows switching between the two versions of the 5.2 application. Structures 5.5 and 5.6 correspond to structures 3.5 and 3.6 of FIG. 3. The actual failover is then caused by the call to a function of failover after invoking the 5.2 application. It is considered in this example that the applications 5.3 and 5.4 can not switch.
  • Fig. 6 represents a same directory structure 6.1 comprising three applications 6.2, 6.3 and 6.4.
  • the application configuration data structures 6.5 and 6.6 are linked to the directory and not directly to a given application. Therefore, the switchover of the configuration data structure 6.5 to that referenced 6.6 causes the switching of the three applications. This failover is linked, it is not possible in this example to cause the individual failover of only one of the applications of the directory. So we see that we can manage the target of a failover by choosing the level in the directory hierarchy in which we place the application configuration data structures.
  • Fig. 7 illustrates an additional possibility of flexibility in defining the target of a failover.
  • the application configuration data structure contains a failover parameter. This parameter is used to define whether the switchover of this application is "alone", “in group” or “alone or in groups”. This parameter is used to define the failover policy of an application when the failover is initiated after invocation of another application. If the value corresponds to "only" for an application, it is possible to switch this application only by a call to the failover command after an invocation of this application.
  • the application can be switched by a call to the failover command after invocation of only one of the applications.
  • the structure 7.5 related to the application 7.2 has its parameter having the value "alone or in a group”
  • the structure 7.7 related to the application 7.3 has its parameter having the value "in group”
  • the structure 7.9 related to the application 7.4 has its parameter having the value "only”.
  • Fig. 8 illustrates the software architecture of the information processing device 8.1. It is composed of an operating system 8.2 which will contain the implementation of the commands and more particularly of the 8.3 failover command.
  • applications 8.4, 8.5 and 8.6 are stored for example in the form of a hierarchical structure already described.
  • the switch control 8.3 can be implemented as an additional command. This embodiment requires, however, that this new command is known and therefore also added to the server-side banking information processing system. Another possibility is to hijack an already existing and little used EMV protocol.
  • the command "Card block” or "Application block” was diverted. It is said that the command is implemented by overloading the existing command. The command becomes in this case inaccessible in its usual semantics and is replaced by the failover command which causes the writing of the application configuration data structure as previously described.
  • an operator of a set of information processing devices can organize a migration operation in a simple and flexible manner.
  • it broadcasts this set of devices including applications in a first version, the pre-migration version, and in a second version, the new version to be deployed. Only the first version is active. It can then migrate its terminals and servers from the first version to the second.
  • it controls the switchover of the information processing devices.
  • This switch occurs during a transaction.
  • This transaction invokes the application in its first version. The switch takes place, but will be effective only when a new invocation of the same application, that is to say the same AID identifier.
  • the transaction involving the server application in its first version 1.2 and the device application in its first version 1.8 ends.
  • the next transaction will involve the server application in its second version 1.3 and the application of the device in its second version also 1.9. It is the server application 1.2 that initiates the switchover as described in FIG. 1.

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Accounting & Taxation (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • General Engineering & Computer Science (AREA)
  • Stored Programmes (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

Dans le domaine des dispositifs de traitement de l'information sécurisés comme, par exemple, les cartes à puce et plus particulièrement concernant le moyen de mettre à jour une application contenue dans une mémoire morte de type ROM (Read OnIy Memory en anglais) d'un tel dispositif, l'invention propose un dispositif de traitement d'information possédant en mémoire morte deux versions d'une application. Les deux versions ont un même identifiant. Le dispositif est doté d'un moyen de commander un basculement entre ces deux versions de façon à ce que la version de l'application exécutée en réponse à une invocation de l'identifiant de l'application change.

Description

Procédé de basculement entre deux versions d'une même application au sein d'un dispositif de traitement de l'information et ledit dispositif
La présente invention concerne le domaine des dispositifs de traitement de l'information sécurisés comme, par exemple, les cartes à puce. Plus particulièrement, l'invention concerne le moyen de mettre à jour une application contenue dans une mémoire morte de type ROM (Read OnIy Memory en anglais) d'un tel dispositif.
Il est connu de fournir des cartes à puce, par exemple dans le domaine bancaire, dont les applications sont stockées en mémoire morte. Il s'agit de renforcer la sécurité de ces dispositifs de traitement de l'information en rendant inaltérables les applications exécutables embarquées.
Bien qu'avantageuse au niveau de la sécurité, cette façon de faire pose un problème pour réaliser une migration d'une version d'une application embarquée. En effet, ces dispositifs fonctionnent généralement par coopération avec un système de traitement d'information avec lequel ils interagissent. Dans le cas des cartes à puce bancaires, elles interagissent avec les terminaux de paiement et à travers ceux-ci avec le système d'information bancaire. Quand ce système évolue, il est nécessaire de changer toutes les cartes à puce de l' ensemble des clients pour réaliser la migration. Ce changement prend nécessairement du temps pendant lequel le système d'information doit être capable de gérer des cartes de l'ancienne génération et celles de la nouvelle génération qui sont déployées. Ce n'est que lorsque toutes les cartes ont été mises à jour qu'il est possible de basculer le système d'information sur la nouvelle génération d'application.
L'invention vise à résoudre les problèmes précédents en proposant un dispositif de traitement d'information possédant en mémoire morte deux versions d'une application. Les deux versions ont un même identifiant. Le dispositif est doté d'un moyen de commander un basculement entre ces deux versions de façon à ce que la version de l'application exécutée en réponse à une invocation de l'identifiant de l'application change.
De cette façon, il est possible de diffuser des dispositifs de traitement d'informations, tels que des cartes à puce dotées d'au moins deux versions d'une même application. Il est possible depuis le système de traitement de l'information de provoquer le basculement sur la nouvelle version de l'application sans nécessiter de diffuser un nouveau dispositif. De plus, les différentes versions de l'application étant préférentiellement stockées en mémoire morte, la sécurité des applications n'est pas compromise. D'autre part, il est possible de commencer le déploiement de nouvelles cartes avant que le système de traitement de l'information n'ait été mis à jour. Ensuite seulement, on provoque le basculement, lorsque le système est prêt.
L'invention concerne un dispositif de traitement de l'information comprenant un moyen de stockage de l'information dans une mémoire morte ; une pluralité d'applications stockées dans le moyen de stockage de l'information en mémoire morte ; un système d'exploitation comprenant un ensemble de commandes, dont un moyen d'invocation d'une application parmi la pluralité d'applications, ladite application étant identifiée par un identifiant d'application ; au moins deux applications parmi la pluralité associée à un même identifiant d'application et des moyens de basculement permettant de changer l'application effectivement invoquée lors d'un appel des moyens d'invocation à l'aide de cet identifiant donné, parmi les applications associées à un identifiant donné.
Selon un mode particulier de réalisation de l'invention, le dispositif comprenant un second moyen de stockage de l'information en mémoire réinscriptible, les moyens d'invocation d'une application utilisant l'identifiant associé à une application pour déterminer une structure de données contenant une référence sur l'application à invoquer dans la mémoire réinscriptible, les moyens de basculement comprennent des moyens de copier dans la structure de données un ensemble de données contenant une référence à la nouvelle application devant être invoquée au moyen de l'identifiant.
Selon un mode particulier de réalisation de l'invention, le dispositif comprend en mémoire, pour chacune des applications associées à un identifiant donné, un exemplaire de la structure de données devant être copié par les moyens de basculement. Selon un mode particulier de réalisation de l'invention, les applications étant stockées dans la mémoire morte au sein d'une structure hiérarchique, les structures de données devant être copiées par les moyens de basculement peuvent se situer à différents niveaux de la structure hiérarchique permettant de basculer plusieurs applications de manière liée. Selon un mode particulier de réalisation de l'invention, les structures de données stockées au sein de la structure hiérarchique contiennent un paramètre de basculement permettant de définir la politique de basculement d'une application lorsque le basculement est initié après invocation d'une autre application.
Selon un mode particulier de réalisation de l'invention, les moyens de basculement sont implémentés par surcharge d'une commande existante parmi l'ensemble de commandes du système d'exploitation.
Selon un mode particulier de réalisation de l'invention, les moyens de basculement sont implémentés par ajout d'une commande supplémentaire parmi l'ensemble de commandes du système d'exploitation. L'invention concerne également un procédé de basculement, au sein d'un dispositif de traitement de l'information comprenant un moyen de stockage de l'information dans une mémoire morte, un second moyen de stockage en mémoire réinscriptible, une pluralité d'applications stockées dans le moyen de stockage de l'information en mémoire morte et un système d'exploitation comprenant un ensemble de commandes dont un moyen d'invocation d'une application parmi la pluralité d'applications, ladite application étant identifiée par un identifiant d'application, les moyens d'invocation d'une application utilisant l'identifiant associé à une application pour déterminer une structure de données contenant une référence sur l'application à invoquer, ladite structure de données étant dans la mémoire réinscriptible, qui comprend une étape d'invocation d'une application parmi la pluralité identifiée par son identifiant d'application ; le dispositif comprenant au moins deux applications associées à cet identifiant, chacune de ces applications étant associée à un exemplaire de la structure de données, une étape d'invocation d'une commande de basculement comprenant une étape de recopie de l'exemplaire de la structure de données associée à la nouvelle application sur la structure de données servant à l'invocation.
Les caractéristiques de l'invention mentionnées ci-dessus, ainsi que d'autres, apparaîtront plus clairement à la lecture de la description suivante d'un exemple de réalisation, ladite description étant faite en relation avec les dessins joints, parmi lesquels :
La Fig. 1 illustre l'architecture générale d'un système bancaire avec deux générations d'applications ;
La Fig. 2 illustre le mécanisme d'invocation d'une application au sein d'une carte à puce ; La Fig. 3 illustre le mécanisme de l'invention selon un exemple de réalisation ;
La Fig. 4 illustre la structure des informations de configuration d'une application ;
La Fig. 5 illustre la structure de fichier dans un premier exemple de réalisation du basculement ; La Fig. 6 illustre la structure de fichier dans un second exemple de réalisation du basculement ;
La Fig. 7 illustre la structure de fichier dans un troisième exemple de réalisation du basculement ;
La Fig. 8 illustre l'architecture logicielle d'un exemple de réalisation de l'invention.
L'invention s'intéresse au mécanisme de mise à jour d'une application stockée en mémoire morte au sein d'un dispositif de traitement de l'information. En particulier, ce dispositif peut être une carte à puce dans le domaine bancaire, mais l'invention peut être appliquée dans d'autres domaines impliquant des dispositifs de traitement de l'information en mémoire morte, par exemple dans le domaine des cartes contenant le dossier médical du porteur ou autres.
Dans des dispositifs de traitement de l'information conventionnels, tels que des ordinateurs, les parties applicatives sont généralement stockées dans des espaces de mémoires réinscriptibles. De ce fait, lorsque l'on souhaite mettre à jour une application il est possible de modifier, voire même de changer totalement, le code représentant cette application dans la mémoire du dispositif. Ici, le terme mémoire est utilisé au sens large et peut désigner tout dispositif de stockage d'information et en particulier des disques magnétiques connus sous le terme de disque dur. Dans des domaines nécessitant un haut degré de sécurité, en particulier le domaine bancaire, mais aussi le domaine médical, on utilise couramment des dispositifs de traitement de l'information où les applications sont stockées en mémoire morte. Ces dispositifs peuvent être, par exemple, des cartes à puce comme les cartes bancaires ou encore les cartes connues sous le nom de carte « vitale » identifiant un usager du système de soin français.
Du fait que les applications sont dans une mémoire morte, il n'est pas possible, une fois que le dispositif est créé, de changer le contenu de la mémoire et en particulier de changer le code relatif à une application donnée. Cela implique qu'une mise à jour nécessite un changement du dispositif de traitement de l'information. Cette contrainte est lourde et coûteuse lors du déploiement d'une nouvelle solution.
La Fig. 1 illustre l'architecture d'un système de traitement de l'information dans le domaine bancaire lors d'une migration. Ce système implique d'une part un serveur bancaire 1.1. Ce serveur est connecté à un terminal de paiement ou POS {Point Of Service en anglais) ou un distributeur de paiement ou ATM (Automated Teller Machine en anglais) 1.5. Lors d'une transaction, ce terminal 1.5 est lui-même connecté à une carte à puce 1.7. Les communications entre la carte 1.7 et le terminal 1.5 d'une part, ainsi qu'entre le terminal 1.5 et le serveur bancaire 1.1 d'autre part, se font par l'intermédiaire du protocole EMV (Europay, Mastercard, Visa) 1.4 et 1.6. Via ce protocole, les applications serveurs 1.2 et 1.3 peuvent respectivement communiquer avec les applications 1.8 et 1.9 de la carte à puce.
Lorsque le porteur de la carte insère celle-ci dans le terminal, il s'ensuit un certain nombre d'opérations permettant la mise en service de l'application. Celles-ci comprennent des étapes d'authentification du porteur et de la carte que nous ne détaillerons pas dans le présent document. La Fig. 2 détaille le mécanisme impliqué dans l'invocation d'une application au sein de la carte. L'application est identifiée par un identifiant AID (pour Application ID en anglais) 2.1. Cet identifiant permet de référencer une structure de données de configuration d'application 2.2. Cette structure de données contient un ensemble de données, dont une référence sur l'application proprement dite 2.3. L'invocation d'une application 2.3 implique donc d'identifier la structure de données de configuration d'application liée à son identifiant AID. Le contexte d'exécution est configuré à l'aide des informations contenues dans cette structure. L'application 2.3 peut alors être exécutée. La Fig. 3 illustre le schéma de base de l'invention. Celui-ci consiste à stocker dans la mémoire morte du dispositif de traitement de l'information deux versions de la même application 3.3 et 3.4. Ces deux versions correspondent, par exemple, à une version courante et à une nouvelle version de l'application dans le cadre d'une migration de cette version courante à cette nouvelle version. Pour chacune de ces versions d'application, on stocke également une structure de données de configuration d'applications correspondante 3.5 et 3.6. Chacune de ces structures fait référence à la version correspondante de l'application 3.3 et 3.4. Ces applications possèdent un seul et même identifiant AID, 3.1, pour les deux versions d'application 3.3 et 3.4. Cet identifiant 3.1 permet d'identifier une structure de données de configuration d'application 3.2 permettant de configurer le contexte de l'application. Selon l'invention, cette structure 3.2 est, elle, stockée dans une partie inscriptible de la mémoire du dispositif de traitement de l'information.
De cette façon, il est possible de recopier le contenu d'une des structures de données 3.5 ou 3.6 dans la structure 3.2. Si le contenu de la structure de données 3.2 associée à l'identifiant AID de l'application contient les données de la structure 3.5 correspondant à la version 3.3 de l'application, c'est alors celle-ci qui sera invoquée lors de la procédure d'invocation. On dit que la version 3.3 de l'application est active. Il n'y a alors aucun moyen d'invoquer la version 3.4 de l'application.
Si on effectue une opération de basculement consistant à venir écrire dans la structure de données 3.2 le contenu de la structure 3.6 correspondant à l'application
3.4 on vient basculer la version d'application active. Lors d'une activation suivante, c'est maintenant la version 3.4 de l'application qui est invoquée et qui est donc active.
On voit donc que par ce mécanisme utilisant une structure de données de configuration d'application située en mémoire inscriptible et deux versions de l'application, avec leurs deux versions de structure de données de configuration d'information associées, on peut permettre d'opérer un basculement entre les deux versions d'application. Ces versions d'application étant stockées en mémoire morte, on garde le même niveau de sécurité que pour les dispositifs de traitement de l'information n'implémentant pas l'invention. La Fig. 4 représente la structure de données de configuration d'application dans le cadre de l'exemple de réalisation de l'invention, c'est-à-dire le cadre des systèmes de traitement d'information bancaire selon le standard EMV.
La structure contient alors une partie 4.1 sur un octet codant le type d'application. Une seconde partie 4.2 sur 2 octets permet d'activer ou de désactiver certaines fonctionnalités ou options de l'application. Nous verrons plus bas que cette partie permet d'implémenter des options relatives à l'opération de basculement.
Une troisième partie 4.3 sur un octet stocke l'identifiant du fichier de traces permettant de préciser où est stocké le journal des transactions. Il est possible de garder le même fichier de traces ou d'en changer lors du basculement.
Une quatrième partie 4.4 sur quelques octets permet de définir certaines caractéristiques fonctionnelles du standard EMV.
Une cinquième partie 4.5 permet de définir les commandes EMV disponibles pour cette application. On peut ainsi interdire ou autoriser certaines commandes EMV. Les 2 octets suivants 4.6 et 4.7 permettent de lire toutes les données internes sur lesquelles se base l'application pour fonctionner. Le premier octet 4.6 est un pointeur ou un identifiant du premier fichier ou groupe de données internes de l'application.
Le second octet 4.7 contient le nombre de fichiers ou de groupes de données internes de l'application. L'opération de basculement permet de garder certains de ces fichiers ou groupes de données internes et d'en changer d'autres ou de tous les changer si besoin est.
Dans le contexte bancaire de la norme EMV, les applications sont présentes au sein du dispositif de traitement de l'information sous la forme d'une structure de fichiers hiérarchique au sein de répertoires. Un exemple d'une telle structure est donné Fig. 5. On y voit qu'au sein d'un répertoire 5.1 sont placées trois applications 5.2, 5.3 et 5.4. D'autres répertoires peuvent être présents au sein du dispositif. Pour permettre son invocation, chaque application doit être dotée d'une structure de données de configuration 5.5. Une telle structure peut être directement rattachée à l'application à laquelle elle est relative comme sur le dessin, la structure 5.5 relative à l'application 5.2. La seconde structure 5.6 est aussi rattachée à la même application 5.2, mais dans une autre version. Elle permet donc le basculement entre les deux versions de l'application 5.2. Les structures 5.5 et 5.6 correspondent aux structures 3.5 et 3.6 de la Fig. 3. Le basculement proprement dit est alors provoqué par l'appel à une fonction de basculement après avoir invoqué l'application 5.2. On considère dans cet exemple que les applications 5.3 et 5.4 ne peuvent pas basculer.
La Fig. 6 quant à elle représente une même structure de répertoire 6.1 comprenant trois applications 6.2, 6.3 et 6.4. A la différence de l'exemple de la Fig. 5, ici les structures de données de configuration d'applications 6.5 et 6.6 sont liées au répertoire et non pas directement à une application donnée. Dès lors, le basculement de la structure de données de configuration 6.5 à celle référencée 6.6 provoque le basculement des trois applications. Ce basculement est lié, il n'est pas possible dans cet exemple de provoquer le basculement individuel d'une seule des applications du répertoire. On voit donc que l'on peut gérer la cible d'un basculement en choisissant le niveau dans la hiérarchie des répertoires auquel on place les structures de données de configuration des applications.
La Fig. 7 illustre quant à elle une possibilité supplémentaire de souplesse dans la définition de la cible d'un basculement. Dans ce mode de réalisation, la structure de données de configuration d'applications contient un paramètre de basculement. Ce paramètre permet de définir si le basculement de cette application se fait « seul », « en groupe » ou encore « seul ou en groupe ». Ce paramètre permet de définir la politique de basculement d'une application lorsque le basculement est initié après invocation d'une autre application. Si la valeur correspond à « seul » pour une application, il n'est possible de basculer cette application que par un appel à la commande de basculement après une invocation de cette application.
Si la valeur correspond à « en groupe », le basculement de l'application est possible par un appel à la commande de basculement après invocation d'une seule des applications.
Si la valeur correspond à « seul ou en groupe » les deux possibilités sont offertes.
Dans l'exemple de la Fig. 7, on considère que la structure 7.5 liée à l'application 7.2 a son paramètre ayant la valeur « seul ou en groupe », la structure 7.7 liée à l'application 7.3 a son paramètre ayant la valeur « en groupe » et la structure 7.9 liée à l'application 7.4 a son paramètre ayant la valeur « seul ». Après invocation de l'application 7.2, un appel de la commande de basculement provoque le basculement de l'application 7.2 par passage de la structure 7.5 à 7.6. Elle provoque également le basculement de l'application 7.3 car la structure associée 7.7 a la valeur « en groupe ». Par contre, elle ne provoque pas le basculement de l'application 7.4 car la structure associée 7.9 a la valeur « seul ».
En jouant donc sur ce paramètre, on peut définir quelles applications vont basculer au sein d'un répertoire en fonction de l'application invoquée préalablement à l'appel de la commande de basculement.
La Fig. 8 illustre l'architecture logicielle du dispositif de traitement de l'information 8.1. Il est composé d'un système d'exploitation 8.2 qui va contenir l'implémentation des commandes et plus particulièrement de la commande de basculement 8.3. Dans une partie applicative sont disposées les applications 8.4, 8.5 et 8.6. Ces applications sont stockées par exemple sous la forme d'une structure hiérarchique déjà décrite. Dans le cadre de l'exemple de réalisation reposant sur la norme bancaire EMV, la commande de basculement 8.3 peut être réalisée sous la forme d'une commande supplémentaire. Ce mode de réalisation nécessite par contre que cette nouvelle commande soit connue et donc ajoutée également dans le système de traitement de l'information bancaire côté serveur. Une autre possibilité est de détourner une commande déjà existante et peu utilisée du protocole EMV. Dans l'exemple de réalisation, on a détourné la commande « Card block » ou encore « Application block ». On dit alors que la commande est implémentée par surcharge de la commande existante. La commande devient dans ce cas inaccessible dans sa sémantique habituelle et est remplacée par la commande de basculement qui provoque l'écriture de la structure de données de configuration d'applications comme précédemment décrite.
Grâce à cette commande de basculement, un opérateur d'un ensemble de dispositifs de traitement de l'information selon l'invention peut organiser une opération de migration de façon simple et souple. Dans un premier temps, il diffuse cet ensemble de dispositifs comprenant des applications dans une première version, la version préalable à la migration, et dans une seconde version, la nouvelle version à déployer. Seule la première version est active. Il peut alors faire migrer ses terminaux et ses serveurs de la première version à la seconde. Lorsque c'est fait, il commande le basculement des dispositifs de traitement de l'information. Ce basculement intervient lors d'une transaction. Cette transaction invoque l'application dans sa première version. Le basculement s'opère, mais ne sera effectif que lors d'une nouvelle invocation de la même application, c'est-à-dire du même identifiant AID. Dans un premier temps, la transaction impliquant l'application serveur dans sa première version 1.2 et l'application du dispositif dans sa première version 1.8 se termine. La prochaine transaction impliquera l'application serveur dans sa seconde version 1.3 et l'application du dispositif dans sa seconde version également 1.9. C'est l'application serveur 1.2 qui initie le basculement comme décrit dans la Fig. 1.

Claims

REVENDICATIONS
1/ Dispositif de traitement de l'information comprenant :
- un premier moyen de stockage de l'information dans une mémoire morte ; - un second moyen de stockage de l'information en mémoire réinscriptible ;
- une pluralité d'applications (8.4, 8.5 et 8.6) stockées dans le premier moyen de stockage de l'information en mémoire morte ;
- un système d'exploitation (8.2) comprenant un ensemble de commandes, dont un moyen d'invocation d'une application parmi la pluralité d'applications, ladite application étant identifiée par un identifiant d'application (2.1), les moyens d'invocation d'une application utilisant l'identifiant associé à une application pour déterminer une structure de données (2.2) dans la mémoire réinscriptible contenant une référence sur l'application à invoquer (2.3), ; caractérisé en ce que, le dispositif comprend en outre : - au moins deux applications (3.3, 3.4) parmi la pluralité associée à un même identifiant d'application (3.1) ;
- des moyens de basculement (8.3) permettant de changer l'application effectivement invoquée lors d'un appel des moyens d'invocation à l'aide de cet identifiant donné (3.1), parmi les applications (3.3, 3.4) associées à un identifiant donné (3.1) et comprenant des moyens de copier dans la structure de données (2.2) un ensemble de données contenant une référence à la nouvelle application devant être invoquée au moyen de l'identifiant ; et en ce que, les applications étant stockées dans la mémoire morte au sein d'une structure hiérarchique, les structures de données devant être copiées par les moyens de basculement peuvent se situer à différents niveaux de la structure hiérarchique permettant de basculer plusieurs applications de manière liée.
2/ Dispositif selon la revendication 1, caractérisé en ce que les structures de données stockées au sein de la structure hiérarchique contiennent un paramètre de basculement permettant de définir la politique de basculement d'une application lorsque le basculement est initié après invocation d'une autre application. 3/ Dispositif selon l'une des revendications 1 à 2, caractérisé en ce que les moyens de basculement sont implémentés par surcharge d'une commande existante parmi l'ensemble de commandes du système d'exploitation.
4/ Dispositif selon l'une des revendications 1 à 3, caractérisé en ce que les moyens de basculement sont implémentés par ajout d'une commande supplémentaire parmi l'ensemble de commandes du système d'exploitation.
5/ Procédé de basculement, au sein d'un dispositif de traitement de l'information comprenant un premier moyen de stockage de l'information dans une mémoire morte, un second moyen de stockage en mémoire réinscriptible, une pluralité d'applications (8.4, 8.5 et 8.6) stockées dans le moyen de stockage de l'information en mémoire morte et un système d'exploitation (8.2) comprenant un ensemble de commandes dont un moyen d'invocation d'une application parmi la pluralité d'application, ladite application étant identifiée par un identifiant d'application (2.1), les moyens d'invocation d'une application utilisant l'identifiant associé à une application pour déterminer une structure de données (2.2) contenant une référence sur l'application à invoquer (2.3), ladite structure de données (2.2) étant dans la mémoire réinscriptible, caractérisé en ce qu'il comprend : - une étape d'invocation d'une application parmi la pluralité identifiée par son identifiant d'application ;
- le dispositif comprenant au moins deux applications associées à cet identifiant, chacune de ces applications étant associée à un exemplaire de la structure de données, une étape d'invocation d'une commande de basculement comprenant une étape de recopie de l'exemplaire de la structure de données associée à la nouvelle application sur la structure de donnée servant à l'invocation ; et en ce que, les applications étant stockées dans la mémoire morte au sein d'une structure hiérarchique, les structures de données devant être copiées par les moyens de basculement peuvent se situer à différents niveaux de la structure hiérarchique permettant de basculer plusieurs applications de manière liée .
PCT/EP2009/058014 2008-06-26 2009-06-26 Procédé de basculement entre deux versions d'une même application au sein d'un dispositif de traitement de l'information et ledit dispositif WO2010003832A1 (fr)

Priority Applications (1)

Application Number Priority Date Filing Date Title
EP09793916.9A EP2304559B1 (fr) 2008-06-26 2009-06-26 Procédé de basculement entre deux versions d'une même application au sein d'un dispositif de traitement de l'information et ledit dispositif

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR08/54252 2008-06-26
FR0854252A FR2933214B1 (fr) 2008-06-26 2008-06-26 Procede de basculement entre deux versions d'une meme application au sein d'un dispositif de traitement de l'information et ledit dispositif

Publications (1)

Publication Number Publication Date
WO2010003832A1 true WO2010003832A1 (fr) 2010-01-14

Family

ID=40297690

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/EP2009/058014 WO2010003832A1 (fr) 2008-06-26 2009-06-26 Procédé de basculement entre deux versions d'une même application au sein d'un dispositif de traitement de l'information et ledit dispositif

Country Status (3)

Country Link
EP (1) EP2304559B1 (fr)
FR (1) FR2933214B1 (fr)
WO (1) WO2010003832A1 (fr)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103729674B (zh) * 2014-01-26 2017-01-04 捷德(中国)信息科技有限公司 一种支持多个应用具有相同应用标识的银行卡及使用方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5359730A (en) * 1992-12-04 1994-10-25 International Business Machines Corporation Method of operating a data processing system having a dynamic software update facility
US5732275A (en) * 1996-01-11 1998-03-24 Apple Computer, Inc. Method and apparatus for managing and automatically updating software programs
WO2001014968A1 (fr) * 1999-05-27 2001-03-01 Invensys Plc Dispositif et procede fieldbus evolutifs

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5359730A (en) * 1992-12-04 1994-10-25 International Business Machines Corporation Method of operating a data processing system having a dynamic software update facility
US5732275A (en) * 1996-01-11 1998-03-24 Apple Computer, Inc. Method and apparatus for managing and automatically updating software programs
WO2001014968A1 (fr) * 1999-05-27 2001-03-01 Invensys Plc Dispositif et procede fieldbus evolutifs

Also Published As

Publication number Publication date
FR2933214A1 (fr) 2010-01-01
FR2933214B1 (fr) 2010-12-17
EP2304559A1 (fr) 2011-04-06
EP2304559B1 (fr) 2019-05-29

Similar Documents

Publication Publication Date Title
WO2006053958A1 (fr) Support personnel de mémoire de masse portatif et système informatique d'accès sécurisé a un espace utilisateur via un réseau
EP1151384A1 (fr) Systeme de memorisation comprenant des moyens de gestion d'une memoire avec anti-usure et procede de gestion anti- usure d'une memoire
EP2447835B1 (fr) Procédé de configuration d'une entité électronique
EP1849054A1 (fr) Dispositif de stockage de donnees
WO2001084512A1 (fr) Carte a puce multi-applicatives
WO2005008509A2 (fr) Procede de gestion des composants logiciels integres dans un systeme embarque
WO2008065264A1 (fr) Entite electronique portable et procede de personnalisation d'une telle entite electronique
EP2304559B1 (fr) Procédé de basculement entre deux versions d'une même application au sein d'un dispositif de traitement de l'information et ledit dispositif
EP1141903B1 (fr) Dispositif et procede d'initialisation d'un programme applicatif d'une carte a circuit integre
FR2864650A1 (fr) Procede de mise a jour d'applications pour carte a puce
EP0944880A1 (fr) Module de securite comportant des moyens de creation de liens entre des fichiers principaux et des fichiers auxiliaires
CA3143068A1 (fr) Systeme d'applications de service pour terminaux de paiement
WO2008084154A2 (fr) Traitement de donnee relative a un service numerique
WO2020128240A1 (fr) Traitement d'un service de tickets electroniques
FR3071641B1 (fr) Procede de configuration d'un element securise tel qu'une carte electronique
EP2302518B1 (fr) Procédé et dispositif d'installation d'une application MIFARE dans une mémoire MIFARE
WO2007082900A1 (fr) Dispositif electronique portable apte a fournir un contenu dynamique
EP2115656A2 (fr) Procede de modification de secrets compris dans un module cryptographique, notamment en milieu non protege
FR3021143A1 (fr) Element securise et procede mis en œuvre dans un tel element securise
FR2901387A1 (fr) Systeme informatique d'acces securise a un reseau par des utilisateurs
FR2901386A1 (fr) Support personnel de memoire de masse portatif et systeme informatique d'acces securise a un reseau par des utilisateurs.
FR2901380A1 (fr) Support personnel de memoire de masse portatif et systeme informatique d'acces securise a un espace utilisateur via un reseau
EP2449495A1 (fr) Procédé de validation distante d'un code exécutable
FR2833093A1 (fr) Procede d'echange de blocs de donnees, procede d'echange et de traitement de blocs de donnees, objet portatif, et automate pour la mise en oeuvre de procede
FR2901385A1 (fr) Support personnel de memoire de masse portatif et systeme informatique.

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 09793916

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

WWE Wipo information: entry into national phase

Ref document number: 2009793916

Country of ref document: EP